ComputerBase Menü
Aktuelles

DNS-OK letztlich nicht aussagekräftig?

hasenbein

hasenbein

Commander
Registriert
Feb. 2008
Beiträge
2.103
Hallöchen,

vielleicht kann ein echter Experte mal was dazu sagen, ob meine Überlegungen hierzu http://www.spiegel.de/netzwelt/web/0,1518,808449,00.html richtig sind:

Ich meine, daß eine Seite wie "dns-ok.de" letztlich Blödsinn ist, denn jede Eingabe eines Domain-Namens in den Browser wird ja über einen DNS-Server in eine IP übersetzt. Und wenn der DNS-Server durch einen Trojaner oder anderen Hack ein Verbrecherserver ist, so kann doch der Verbrecherserver ohne die geringsten Probleme in seine DNS-Datenbank eintragen, daß die Anfrage "dns-ok.de" auf eine eigene Seite umgeleitet wird, die genauso aussieht wie die richtige Seite und den Anwender täuscht, indem sie fälschlicherweise "OK" ausgibt!

Bzw. man könnte dieses Umleitungs-Feature doch schon in den Trojaner selbst einbauen!

Wie kann es also sein, daß man sogar von offizieller Seite den Anwendern suggeriert, alles sei safe, wenn man "dns-ok.de" aufruft und die Seite grünes Licht gibt? Da haut doch hinten und vorne was nicht hin!

Oder?

LG,
Hasenbein
 
Hi,

dann müsste das - da die Seite für den Artikel ja nur für dieses eine Botnetz gilt - das FBI den DNS-Eintrag selbst vorgenommen haben. Kann ich mir also kaum vorstellen.

Man ist nur Safe, wenn es um das im Artikel angesprochene Botnetz geht. Bei allen anderen kann es so sein wie du beschrieben hast.

Also: in der Theorie und grundsätzlich hast du recht, in diesem einen Fall, wo die Botnetz-Server in den Händen des FBI sind passt es aber schon so würde ich sagen.

VG,
Mad
 
Hä? Nee. Das ist doch Schmarrn, sorry.

Es kann doch irgendwer (z.B. irgendein Trojaner-Programmierer) den DNS-Eintrag von "dns-ok.de" umgebogen haben! Hat mit FBI oder nicht doch nichts zu tun!

Immer wenn ich eine Domain in den Browser eingebe, kann ich nicht sicher sein, die richtige Seite angezeigt zu bekommen!

Das einzige, was zu einem aussagekräftigen Ergebnis führte, wäre doch, eine IP einzugeben (also z.B. 245.66.11.77 oder so)! Warum haben die Betreiber das nicht so gemacht?

LG,
Hasenbein
 
aber speziell in diesem Fall geht es ja ausschließlich um die manipulierten DNS Einträge die auf diese speziellen Server umleiten... und die kontrolliert seit einiger Zeit das FBI.
 
Hi,

sicher, wie gesagt, grundsätzlich hast du recht. Natürlich kannst du dir nie 100% sicher sein.

Aber in den meisten Fällen reicht es doch so wie es jetzt in diesem Fall gemacht wird.

Wenn der DNS-Eintrag bei dir von etwas anderem umgebogen wurde hast du recht. Daher schrieb ich ja auch:

Man ist nur Safe, wenn es um das im Artikel angesprochene Botnetz geht.
Zum Vergrößern anklicken....

da es bei diesem Trojaner eben immer in das Netz, das jetzt beim FBI läuft, geht bzw. ging.

Natürlich kann ein anderer Trojaner auf deinem PC das gleiche gemacht haben. In dem Bericht ging es ja auch nur um diesen einen speziellen.

VG,
Mad
 
lufkin schrieb:
aber speziell in diesem Fall geht es ja ausschließlich um die manipulierten DNS Einträge die auf diese speziellen Server umleiten... und die kontrolliert seit einiger Zeit das FBI.
Zum Vergrößern anklicken....

Und das FBI schaltet die Server nun im März ab. Deshalb soll man gucken, ob man betroffen ist.
 
Madman1209 schrieb:
Natürlich kann ein anderer Trojaner auf deinem PC das gleiche gemacht haben. In dem Bericht ging es ja auch nur um diesen einen speziellen.
Zum Vergrößern anklicken....
Und wo genau sollte dieser Trojaner jetzt herkommen? Die Domain dns-ok.de wurde ja wohl erst vor ein paar Stunden geschaltet. Es müsste also ein neuer Fake-DNS-Server aufgemacht werden und dazu müsste sich ein Trojaner rasend schnell verbreiten, der den lokal eingestellten DNS-Server auf eben diesen neuen Fake-Server stellt. Sowas kann man erst einmal ausschließen würde ich behaupten.

Das einzige was hätte passieren können ist, dass der schon lokal vorhandene Trojaner einfach nochmal die IP des DNS-Servers auf eben einen neuen ändert. Dies ist aber wohl kaum möglich, wenn sich die "Steuerserver" jetzt in der Hand des FBIs befinden.

Ich glaube hasenbein hat die Funktion eines DNS-Servers noch nicht ganz verstanden. Die Adresse, die man in seinen Browser eintippt, wird nicht lokal aufgelöst sondern eben an einen DNS-Server geschickt, der diese dann auflöst.
 
Zuletzt bearbeitet:
Hi,

Und wo genau sollte dieser Trojaner jetzt herkommen?
Zum Vergrößern anklicken....

Och darum geht es doch nicht. Aber ausschließen kannst du es eben nicht, daher ist meine Formulierung faktisch korrekt. Punkt.

Dies ist aber wohl kaum möglich, wenn sich die "Steuerserver" jetzt in der Hand des FBIs befinden.
Zum Vergrößern anklicken....

Nachdem man bei unserem Bundestrojaner gesehen hat, wie einfach man per Reverse-Engineering manuell Daten nachladen kann behaupte ich, dass das sehr wohl möglich ist.

VG,
Mad
 
Die IP Anstelle des Domainnames anzugeben ist nicht schlecht, beweist aber gar nichts: Denn dann wird der DNS nicht bemüht und man erfährt nicht ob der lokale DNS Eintrag überschrieben wurde ("man infiziert ist").

Nur die Seite dns-ok.de anzusurfen bringt auch nichts viel, da die "offiziellen" DNS infiltiert sein können bzw. infiltrationen kaskadiert weitergeben bzw. man selbt misstrauisch gegebüber dem BSI oder FBI ist oder man selber gar nicht weiss über welchen DNS man surft (nicht ITler).

Wenn man allerdings nur überprüfen will, ob der lokale DNS von angepsrochenen Wurm manipuliert wurde, muss man beides testen:

1) über den Domainnamen (dns-ok.de)
2) über die direkte Eingabe der IP (85.214.11.194)

Egal was man dann sieht, wenn das Ergebnis in beiden fällen nicht 100% identisch ist, ist man betroffen. Entweder manuell den lokalen DNS Eintrag fixen oder ein entsprechendes Tool nutzen. Wer nicht das Tool von denen nutzen möchte die auch den Staatstrojaner verbreiten, kann z.B. TDSSKiller von Kasperky nutzen.

[Spekulationen gelöscht, will nix unbelegbares verbreiten]
 
Zuletzt bearbeitet: (Grrrr: Warum darf man keine IPs direkt posten?.... Komisches Forum)
AW: DNS-OK - Plattform für die Verbreitung vom Bundestrojaner?

Das Erste was ich gedacht habe, als ich diese "Meldung" gelesen habe war:
Ich werde dns-ok.de nie im Leben aufrufen!

Das Stichwort lautet hier "Drive By Download".

Bundeskriminalamt, Bundesamt für Sicherheit in der Informationstechnik (BSI), FBI ...
also bitte...wollen die Bürger schützen oder überwachen?

Wie verteilt man am besten grössflächig Bundestrojaner? Man macht den Leuten Angst und bietet angeblich Hilfe an. Zusätzlich noch der Hinweis, dass man die Website bis zu einem bestimmten Datum auf jeden Fall aufgerufen haben muss.
 
Ok, lotion, es denken also doch ein paar mehr Leute nach als ich dachte. Trotzdem habe ich meine Verdächtigungen wieder gelöscht... Ich kann nichts belegen, nur meinen Verstand benützen.

Wer dem CCC mehr vertraut als dem BSI, findet hier eine recht simple Anleitung: w[W]w.ccc.de/censorship/dns-howto/

(eckige Klammern entfernen, dieses Forum hat verboten den Link zu posten)
 
Zuletzt bearbeitet:
Als Laie mal getestet. Dnk-ok meldet alles ok. Die o.g. ip Adresse von stefan.bauer meldet infiziert.
Na prima.
Und jetzt?
 
Hallo,

bei mir ebenso
1) über den Domainnamen (dns-ok.de) => OK
2) über die direkte Eingabe der IP (85.214.11.194) => infiziert

TDSSKiller von Kasperky findet einen virus, zeigt diesen aber nicht an, delet betätigt, neusart, keine änderung (OK und infiziert)

mfg
logitechmaus
 
jo bei mir meldet die von Steffen.Bauer auch infiziert und die dns-ok.de meldet sauber...
Ich hab jetzt noch mal geguckt:

Diese Ip ist die Ip von dns-ok.de, wenn sie "alles clean" anzeigt:
http://85.214.11.195/
(mit http://whois.to rausgefunden)
Die hier zeigt Befund an: 85.214.11.194
 
mach Dir keine Sorgen! (zumindest nicht wegen dnsChanger >> nur wegen dem anderen Virus)

Wenn Du die IP direkt eingibst surft Du die Testseite direkt an ohne einen DNS zu benutzen.
Für die Testseite kommst Du dann nichtmehr aus der Ecke aus der er Dich erwartet und stuft Dich als infiziert ein.

ganz normales Verhalten also

der Test klappt nur wenn Du auch DNS benutzt! (was Du nicht tust wenn Du die IP eingibst)


mfg
kowa
 
Eben @KowaKowalski, so sieht es aus. ;)

Ich habe zur Sicherheit nach Abfrage der Seite DNS-OK ("Ihre DNS Konfiguration ist korrekt") das Tool von Kaspersky drüberlaufen lassen, keine Funde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

W
Windows 11 Speicherdiagnosetool aussagekräftig?
Antworten
9
Aufrufe
783
Whitehorse1979
W
P
Wie aussagekräftig ist die Zahl der RAM-Slots im Taskmanager?
Antworten
19
Aufrufe
3.368
pseudopseudonym
P
K
Kununu - Aussagekräftig oder nur ein "Abbau Portal für Frust"
Antworten
6
Aufrufe
4.775
bulasan
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz